|
|
@@ -0,0 +1,156 @@
|
|
|
+# Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении
|
|
|
+
|
|
|
+Настоящий стандарт распространяется на создаваемые (модернизируемые) информационные автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.
|
|
|
+
|
|
|
+Цель доклада — определить содержание работ по защите информации на этапах модернизации автоматизированной системы (АС), а также порядок их выполнения в рамках защищенного исполнения. В условиях современного информационного пространства защитa информации приобретает критическое значение: модернизация должна сохранять или повышать конфиденциальность, целостность и доступность данных, обеспечивать устойчивость к угрозам и соответствовать требованиям нормативно-правовых актов и внутренних регламентов организации.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+# Термины и определения
|
|
|
+В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 53114, ГОСТ 34.003, ГОСТ 16504, а также следующие термины с соответствующими определениями:
|
|
|
+
|
|
|
+Мероприятия по защите информации - совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации.
|
|
|
+
|
|
|
+Обработка информации - выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью.
|
|
|
+
|
|
|
+Система защиты информации автоматизированной системы - совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.
|
|
|
+
|
|
|
+Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
|
|
|
+
|
|
|
+
|
|
|
+# Обозначения и сокращения
|
|
|
+**АС** - автоматизированная система;
|
|
|
+
|
|
|
+**АСЗИ** - автоматизированная система в защищенном исполнении;
|
|
|
+
|
|
|
+**ЗИ** - защита информации;
|
|
|
+
|
|
|
+**НИР** - научно-исследовательская работа;
|
|
|
+
|
|
|
+**НСД** - несанкционированный доступ;
|
|
|
+
|
|
|
+**ОКР** - опытно-конструкторская работа;
|
|
|
+
|
|
|
+**ПС** - программное средство;
|
|
|
+
|
|
|
+**СЗИ** - средство защиты информации;
|
|
|
+
|
|
|
+**ТЗ** - техническое задание;
|
|
|
+
|
|
|
+**ТТЗ** - тактико-техническое задание;
|
|
|
+
|
|
|
+**ТС** - техническое средство.
|
|
|
+
|
|
|
+
|
|
|
+# Этапы модернизации и требования к защите информации
|
|
|
+**Этап 1. Подготовительный анализ и планирование**
|
|
|
+1. Оценка текущего уровня защиты информации (АС безопасная архитектура, наличие средств защиты, регламенты).
|
|
|
+
|
|
|
+2. Формирование требований к защите информации для будущей архитектуры.
|
|
|
+
|
|
|
+3. Разработка плана модернизации с указанием контрольных точек, сроков, ответственных и ресурсов.
|
|
|
+
|
|
|
+4. Идентификация критичных данных и режимов их обработки.
|
|
|
+
|
|
|
+**Этап 2. Проектирование защищенного исполнения**
|
|
|
+1. Выбор архитектурных решений с учетом разделения доверий, сегментации сети, применения безопасных сред выполнения.
|
|
|
+
|
|
|
+2. Определение требований к конфиденциальности и целостности данных на новых узлах и каналах передачи.
|
|
|
+
|
|
|
+3. Планирование обновления платформ, операционных систем, СУБД и приложений с учетом совместимости и миграционных рисков.
|
|
|
+
|
|
|
+4. Определение механизмов защиты на этапе транзита и хранения (шифрование, ключи, управление доступом).
|
|
|
+
|
|
|
+**Этап 3. Разработка и закупка средств защиты**
|
|
|
+1. Создание или адаптация средств защиты информации: криптографические модули, средства аутентификации и авторизации, контроля доступа, мониторинг и аудит.
|
|
|
+
|
|
|
+2. Обеспечение совместимости с существующей инфраструктурой и соответствие требованиям безопасности.
|
|
|
+
|
|
|
+3. Проведение тендера/закупки с учетом критериев ИБ, сертификаций, поставщиков и гарантий.
|
|
|
+
|
|
|
+**Этап 4. Реализация мер защиты на этапах внедрения**
|
|
|
+1.Внедрение средств защиты без прерывания основных бизнес-процессов.
|
|
|
+
|
|
|
+2. Настройка криптографических режимов, политик доступа, журналирования событий.
|
|
|
+
|
|
|
+3. Развертывание систем мониторинга инцидентов и реагирования на них.
|
|
|
+
|
|
|
+4. Организация резервного копирования и восстановления, планов аварийного восстановления.
|
|
|
+
|
|
|
+**Этап 5. Проверка соответствия и приемка**
|
|
|
+1. Проведение аудита безопасности и тестирования на проникновение, тестирования на устойчивость к сбоям.
|
|
|
+
|
|
|
+2. Верификация выполнения всех требований по защите информации, соответствие нормативам и внутренним регламентам.
|
|
|
+
|
|
|
+3. Оформление актов приемки и регистрации изменений.
|
|
|
+
|
|
|
+**Этап 6. Эксплуатация и сопровождение**
|
|
|
+1. Постоянный мониторинг состояния защиты, обновление политик безопасности, управление уязвимостями.
|
|
|
+2. Обновление документации и процессов в связи с изменениями в инфраструктуре.
|
|
|
+3. Обучение пользователей и операторов правилам безопасной эксплуатации.
|
|
|
+
|
|
|
+
|
|
|
+# Содержание работ по защите информации
|
|
|
+Содержание работ включает комплекс мероприятий, направленных на анализ, планирование и реализацию мер безопасности:
|
|
|
+
|
|
|
+1. Анализ текущего состояния АС и рисков: Оценка существующих угроз, уязвимостей и уровня защищённости. Включает аудит конфигурации, проверку на соответствие стандартам (например, ГОСТ Р 57580 или ISO 27001).
|
|
|
+
|
|
|
+2. Проектирование мер защиты: Разработка плана модернизации с учётом требований к ЗИ, таких как шифрование данных, многофакторная аутентификация и контроль доступа.
|
|
|
+
|
|
|
+3. Реализация защитных механизмов: Интеграция средств защиты (файрволы, антивирусы, системы обнаружения вторжений) в модернизируемые компоненты.
|
|
|
+
|
|
|
+4. Тестирование и верификация: Проверка эффективности мер ЗИ через пентесты, симуляции атак и анализ логов.
|
|
|
+
|
|
|
+5. Документация и обучение: Составление отчётов о выполненных работах и обучение персонала правилам безопасного использования АС.
|
|
|
+
|
|
|
+6. Мониторинг и поддержка: Постоянный контроль после модернизации для своевременного реагирования на инциденты.
|
|
|
+
|
|
|
+Эти работы обеспечивают непрерывность защиты на всех этапах.
|
|
|
+
|
|
|
+# Порядок выполнения работ
|
|
|
+
|
|
|
+Порядок работ строится поэтапно, с соблюдением последовательности, чтобы минимизировать риски:
|
|
|
+
|
|
|
+Подготовительный этап: Провести анализ требований к модернизации и оценку рисков ЗИ.
|
|
|
+Составить план работ и получить согласование от заинтересованных сторон.
|
|
|
+
|
|
|
+Этап проектирования: Разработать архитектуру модернизированной АС с встроенными механизмами ЗИ. Выбрать и закупить необходимые средства защиты.
|
|
|
+
|
|
|
+Этап реализации: Установить и настроить новые компоненты АС.Интегрировать меры ЗИ (например, обновить ПО с патчами безопасности).
|
|
|
+Этап тестирования: Выполнить функциональное тестирование АС и проверки ЗИ. Провести приёмочные испытания и устранить выявленные проблемы.
|
|
|
+
|
|
|
+Этап внедрения и мониторинга: Перевести АС в эксплуатацию с постоянным мониторингом. Организовать обучение пользователей и документировать результаты.
|
|
|
+
|
|
|
+Заключительный этап: Провести аудит после модернизации и подготовить отчёт.
|
|
|
+
|
|
|
+Весь процесс занимает от нескольких недель до месяцев, в зависимости от сложности АС. Важно соблюдать нормативные требования, такие как ФЗ-152 "О персональных данных" в России.
|
|
|
+
|
|
|
+
|
|
|
+# Роли и ответственности
|
|
|
+Специалисты по информационной безопасности защищают данные от внутренних и внешних угроз, например, от несанкционированного копирования, искажения, уничтожения, блокирования. Некоторые задачи:
|
|
|
+**Предотвращение утечки данных**, к которым имеет доступ ограниченное число должностных лиц или служащих (государственной, коммерческой, банковской тайны).
|
|
|
+**Обеспечение безопасного доступа** сотрудников к информационным ресурсам. Используются системы управления доступом и аутентификации, которые устанавливают права доступа к данным в зависимости от роли сотрудника.
|
|
|
+**Обучение персонала** основам безопасности данных, например, чтобы сотрудники могли распознавать социальную инженерию и противостоять уловкам злоумышленников.
|
|
|
+
|
|
|
+**Внедрение комплексной системы защиты** данных включает анализ рисков, разработку планов реагирования на инциденты, регулярные аудиты безопасности и другие меры.
|
|
|
+
|
|
|
+Нарушение требований законодательства в сфере защиты информации влечёт за собой ответственность. Некоторые виды санкций:
|
|
|
+**Административная ответственность** — штрафы для должностных лиц и юридических лиц за нарушение требований законодательства о персональных данных (ст. 13.11 КоАП РФ). Размеры штрафов могут быть значительными, особенно за повторные нарушения.
|
|
|
+**Гражданская ответственность** — в случае утечки персональных данных граждане имеют право обратиться в суд с иском о возмещении морального вреда и убытков, причинённых нарушением их прав.
|
|
|
+**Уголовная ответственность** — в случаях, когда нарушение информационной безопасности привело к тяжким последствиям, таким как крупный материальный ущерб, нарушение работы критической инфраструктуры или причинение вреда здоровью людей (ст. 272, 273, 274.1 УК РФ). В зависимости от тяжести преступления, виновным грозит лишение свободы на срок до десяти лет.
|
|
|
+
|
|
|
+**В большинстве случаев** ответственность за обеспечение информационной безопасности возлагается на руководство организации — генерального директора, исполнительного директора, директора по ИТ или информационной безопасности.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+# Заключение
|
|
|
+Модернизация автоматизированной системы в защищенном исполнении требует комплексного подхода к защите информации на всех этапах жизненного цикла проекта. Важны четкие регламенты, продуманная архитектура, современные средства защиты и непрерывное совершенствование процессов. Только так можно обеспечить сохранение конфиденциальности, целостности и доступности данных, минимизировать риски и обеспечить устойчивость к внешним и внутренним угрозам.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+**Источники:**
|
|
|
+1. https://nkjustice.ru/ib_riski
|
|
|
+2. http://www.ktso.ru/normdoc11/gost_p_51583-2014/gost_p_51583-2014_7.php
|
|
|
+3. https://developers.sber.ru/help/business-development/infrastructure-security
|
ypv
